「我々は過去の教訓を生かしきれていない」，米Fortify Softwareセキュリティ担当者

「アプリケーションの脆弱性を突く代表例は二つある。一つはバッファ・オーバーフロー，もう一つはクロスサイト・スクリプティング（XSS）だ。ともに10年近く前から指摘されているにもかかわらず，我々は過去の教訓を生かしきれていない」。10月26日，東京で開催されたセキュリティ関連のイベント「Black Hat Japan 2007 Briefings」で，アプリケーションの脆弱性対策ソフトウエアを開発する米Fortify SoftwareのJacob West氏（写真）はこう主張する。West氏は，同社セキュリティ研究グループの責任者を務めている。 バッファ・オーバーフローは，設定したサイズ以上のデータをバッファに大量に送り込んで，管理者権限を取得すること。XSSは，悪意のある文字列を埋め込んでWebサイトなどを乗っ取ることをいう。なぜ，こうした脆弱性の問題を解決できないのか。West氏は，We

[cubed-l]

「プログラマの意識を改善することが重要」激しく同意。

[TAKESAKO]

。『アプリケーションの開発者は，セキュリティなどの余計なことを考えずにプログラミングだけに集中できる』。こうしたうたい文句を鵜呑みにして，セキュリティをおろそかにするのは間違っている」（West氏）